Dopo che una vulnerabilità di sicurezza ha portato alcuni proprietari di WD NAS a cancellare i propri dati, è stata scoperta una nuova vulnerabilità in più dispositivi WD (tramite KrebsOnSecurity). La vulnerabilità, scoperta dai ricercatori di sicurezza Pedro Ribeiro e Radek Domanski, è apparentemente presente sui dispositivi Cloud OS 3 e non sul più recente Cloud OS 5, che WD ha recentemente rilasciato come aggiornamento. Il problema è che, secondo Ribeiro e Domanski, a molti utenti di WD non piace la nuova versione. Questo perché mancano alcune funzioni e caratteristiche che erano disponibili in Cloud OS 3. WD ha affermato che non aggiornerà Cloud OS 3 con patch di sicurezza.
Esiste anche la possibilità che alcuni utenti non siano in grado di eseguire l'aggiornamento a Cloud OS 5. Secondo la pagina dei dispositivi supportati di WD, il software aggiornato non è disponibile per MyCloud EX2, EX4 o alcune versioni di My Cloud e My Cloud Specchio.
Se possiedi un dispositivo che non può essere aggiornato a Cloud OS 5, il consiglio di WD è di eseguire l'aggiornamento a uno che può. L'altra opzione, secondo una dichiarazione rilasciata da WD a Comparitech l'anno scorso, è disattivare l'accesso al dashboard remoto al dispositivo.
Un hacker potrebbe potenzialmente danneggiare il tuo NAS
I ricercatori hanno scoperto che potevano entrare in un dispositivo Cloud OS 3 aggiornandolo da remoto con firmware modificato. La funzionalità di aggiornamento del firmware è pensata per essere accessibile solo agli utenti autenticati, ma sono stati in grado di aggirare il problema perché il NAS apparentemente ha un utente con una password vuota, che in alcuni casi sono stati in grado di utilizzare per l'autenticazione.
La loro versione dell'exploit consente loro di eseguire comandi sul NAS, ma altre versioni potrebbero essere utilizzate per qualsiasi numero di scopi nefasti. Inoltre, poiché l'hack sfrutta la funzione di aggiornamento del firmware, un hacker potrebbe intenzionalmente o addirittura accidentalmente danneggiare il dispositivo. I ricercatori hanno creato la propria patch di sicurezza personalizzata, ma deve essere riapplicata al dispositivo ogni volta che si riavvia. Puoi vedere maggiori dettagli al riguardo in un video che hanno realizzato spiegando l'exploit.
Mentre la vulnerabilità rilevata dal i ricercatori sembrano particolarmente eclatanti, potrebbe non essere l'unico in circolazione: il post di WD che consiglia alle persone di eseguire l'aggiornamento a Cloud OS 5 afferma che difende da intere classi di attacchi. Con questo in mente, se possiedi un dispositivo che non può eseguire il nuovo sistema operativo, è probabilmente il momento di pensare a un aggiornamento, a uno dei nuovi dispositivi WD o a un'altra opzione NAS.